Аналитики компании Recorded Future продолжают наблюдать за тем, как китайские государственные группы осуществляют слежку и сбор разведывательной информации за общинами этнических и религиозных меньшинств. Ранее мы рассказывали о деятельности такого рода, которую мы приписывали RedAlpha. С тех пор выявили еще одну группу, которая особенно настойчиво преследует тибетскую общину, обычно упоминаемую в открытых источниках как TA413.
TA413 APT IOCs
TA413 APT
В первой половине 2022 года Recorded Future наблюдали, как TA413 использовала уже исправленную уязвимость нулевого дня, направленную на продукт Sophos Firewall (CVE-2022-1040), использовала уязвимость "Follina" (CVE-2022-30190) вскоре после обнаружения и публикации, а также использовала недавно замеченный пользовательский бэкдор, который мы отслеживаем как LOWZERO, в кампаниях, направленных на тибетские организации. Эта готовность быстро внедрять новые техники и методы первоначального доступа контрастирует с постоянным использованием группой хорошо известных и зарегистрированных возможностей, таких как устройство для создания оружия Royal Road RTF, и часто вялой тенденцией к закупкам инфраструктуры.
- TA413, вероятно, осуществляет кибершпионаж от имени китайского государства. Эта оценка основана на постоянных нападениях группы на тибетскую общину в целях сбора разведданных, использовании пользовательских возможностей, общих для других известных китайских государственных груп.
- TA413, вероятно, является потребителем общего конвейера разработки возможностей, обслуживающего множество китайских государственных групп, примером чего является постоянное использование группой конструктора Royal Road RTF, общий эксплойт нулевого дня в Sophos Firewall, замеченный в использовании множеством связанных с Китаем групп, и исторический доступ к другим общим семействам вредоносных программ, таким как бэкдор TClient.
- В общей сложности мы наблюдали, как минимум, три китайские государственные группировки использовали уязвимость нулевого дня в Sophos Firewall CVE-2022-1040. В более широком смысле, эта активность является еще одним свидетельством продолжающегося роста использования "нулевого дня" китайскими государственными субъектами и постоянного обмена пользовательскими возможностями - включая эксплойты - между группами, связанными с китайскими спецслужбами.
- TA413 создает новый пользовательский бэкдор LOWZERO, отклоняясь от использования хорошо известных инструментов с открытым исходным кодом.
Indicators of Compromise
IPv4
- 134.122.129.102
- 134.122.129.38
- 172.105.35.111
- 192.46.213.63
- 45.77.45.222
- 65.20.75.158
IPv4 Port Combinations
- 45.77.19.75:110
- 45.77.45.222:110
Domains
- airjaldi.online
- applestatic.com
- freetibet.in
- newsindian.xyz
- tibet.bet
- tibetyouthcongress.com
URLs
- http://65.20.75.158/poc.html
- http://65.20.75.158/0524x86110.exe
SHA256
- 028e07fa88736f405d24f0d465bc789c3bcbbc9278effb3b1b73653847e86cf8
- 5217c2a1802b0b0fe5592f9437cdfd21f87da1b6ebdc917679ed084e40096bfd
- 86f45f0d6778fda90a56ea8986a9124d768715af425784bbd1c371feeb2bfe68